CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-44654

HighCVSS 8.1
Published: Updated: Translated: NVD NIST

Summary

W wersjach LibreChat do 0.8.3, edytor agenta współdzielonego może usunąć rekordy plików poprzez `DELETE /api/files`, co prowadzi do globalnego usunięcia pliku. To powoduje, że prywatne agenty właściciela, które odwołują się do tego samego `file_id`, przestają działać z powodu nieaktualnych odniesień.

Risk Assessment

Organizacja narażona jest na utratę integralności danych, ponieważ usunięcie pliku przez edytora agenta współdzielonego wpływa na inne prywatne agenty właściciela, co może prowadzić do nieprzewidzianych przerw w działaniu aplikacji.

Recommendation

Zaleca się aktualizację do wersji 0.8.4, która zawiera poprawkę eliminującą tę podatność oraz przegląd polityki dostępu do edytorów agentów współdzielonych.

Original NVD description (English source)

LibreChat is an enhanced ChatGPT clone that supports multiple AI providers. In versions up to and including 0.8.3, a shared-agent editor can delete file records through `DELETE /api/files` that the owner has reused across multiple agents. The deletion removes the file globally — not just from the shared agent — breaking the owner's other private agents that reference the same `file_id`. The private agent retains a stale `file_id` reference that no longer resolves. A shared-agent editor can destroy files that the owner uses across multiple agents. The owner's private agents — which the attacker has no access to — break silently with stale `file_id` references. This is a cross-agent integrity violation: editing access to one agent should not affect another. Version 0.8.4 contains a patch.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS